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1， 本 流程 适用 于 百度 漏洞 反馈 平台 ( sec.baidu.com 或 bsrc.baidu.com ) 所 收 到 的 安全 漏洞 报告 。 
2 . 评分 标准 仅 适 用 于 百度 所 有 产品 和 服务 ， 域 名 包括 但 不 限于 *.baidu.com、hao123.com 等 。 
3. 同一 漏洞 最 早 提交 者 得 分 ; 在 其 它 平台 上 提交 过 的 不 计 分 ; 与 百度 完全 无 关 的 漏洞 不 计 分 ; 提交 外 


界 已 经 公开 的 漏洞 不 计 分 。 


二 、 实施 日 期 


BSRC 综合 各 方 用 户 反 馈 及 专家 建议 ,对 V6.0 进行 整理 更 新 ,包括 优化 漏洞 评分 通用 原则 ,并 于 2020 
年 11 月 2 日 正式 执行 V6.0。 

如 果 您 对 本 流程 有 任何 的 建议 ， 欢 迎 通过 邮箱 security@baidu.com ; 微 信 私信 @ 百 度 安全 应 急 响 应 
中 心 ( 微 信号 baidu_sec ) ; 或 者 通过 QQ 群 567476227 留言 的 方式 向 我 们 反馈 。 建 议 一 经 采纳 ， 


BSRC 会 送出 专属 定制 礼品 。 


三 、 漏洞 提交 与 反馈 流程 ( 增加 复 测 漏洞 环节 ) 


四 、 安全 漏洞 评分 标准 

根据 漏洞 对 公司 整体 业务 的 影响 程度 将 漏洞 等 级 分 为 【严重 】、【 高 】、 【中 】、【 低 】、 【无 ] 五 
个 等 级 。 每 个 漏洞 所 得 安全 币 数量 = 基础 安全 币 * 业 务 等 级 系数 。 由 BSRC 结合 利用 场景 中 漏洞 的 严重 
程度 、 利 用 难度 、 影 响 范围 等 综合 因素 进行 漏洞 评级 ， 并 给 予 相应 安全 币 ， 每 种 等 级 包含 的 评分 标准 


及 漏洞 类 型 如 下 : 


基础 安全 币 高 危 
业务 等 级 系数 本 (45-60) 
ee 


和 mm | wm | 2 2 





4.1 业务 等 级 系数 说 明 

务 等 级 系数 是 按照 百度 业务 线 及 产品 的 重要 性 来 进行 划分 的 ， 分 为 高 中 低 三 个 等 级 ， 每 个 等 级 有 对 
应 的 系数 范围 。 
注 : 此 业务 等 级 系数 仅 代 表 BSRC 对 具体 安全 问题 的 评分 参考 标准 。 
高 等 级 业务 产品 线 【 本 等 级 对 应 系数 为 7~10】 主 要 是 包括 但 不 限于 百度 战略 级 业务 及 产品 线 的 核心 
域名 、IP 及 客户 端 , 如 : 


。 ”百度 搜索 ( www.baidu.com、m.baidu.com 等 ) 





。 ”百度 帐号 系统 ( passport.baidu.com ) 
。 ”百度 推广 

。 ”百度 无 人 车 

。 ”百度 DuerOS 

。 ”百度 云 


。 百度 APP 


中 等 级 业务 产品 线 【 本 等 级 对 应 系数 为 2~6】 主 要 是 百度 重要 业务 产品 线 的 域名 、IP 及 客户 端 ， 包 括 
但 不 限于 : 

。 ”高 等 级 业务 的 边缘 业务 线 

。 ”百度 社区 服务 相关 产品 线 ， 如 百度 贴吧 、 百 度 知 道 、 百 度 百 科 等 

。 ”百度 移动 服务 相关 产品 线 ， 如 百度 输入 法 、 百 度 手 机 卫士 等 

。 ”百度 站 长 与 开发 者 服务 相关 产品 线 ， 如 百度 统计 、 百 度 指数 等 


。 ”百度 软件 工具 ， 如 如 流 ( 原 百度 hi ) 等 


低 等 级 业务 产品 线 【 本 等 级 对 应 系数 为 1】 主 要 是 除 高 业务 等 级 、 中 业务 等 级 以 外 的 其 他 业务 及 产品 
线 、 百 度 拆 分 业务 ( 子 公 司 业务 、 虹 化 业务 或 已 出 售 业务 ，BSRC 只 收 影响 百度 域名 的 漏洞 ， 如 太 合 
音乐 、 度 小 满 金融 等 平台 的 问题 建议 直接 反馈 给 站 点 官方 ) 

。 ”百度 糯米 

。 ”百度 游戏 


。 ”百度 视频 


备注 : 若 目标 系统 是 核心 产品 线 的 边缘 业务 ( 例如 百度 地 图 的 某 个 边缘 业务 ) ， 并 且 不 能 获取 敏感 或 
有 价值 数 的 数据 ， 则 业务 等 级 系数 降 一 级 ( 即 由 核心 业务 等 级 降 为 一 般 业 务 等 级 ) 。 敏 感 数据 包括 但 
不 仅 限 于 大 量 用 户 数据 、 交 易 数据 ， 或 可 以 引起 直接 风险 的 敏感 数据 。 且 测试 过 程 中 不 得 获取 数据 ， 


如 确 有 必要 ， 不 得 超过 10 条 ; 严 茶 大 规模 遍历 数据 的 行为 。 


4.2 【 严重 】 核心 系统 应 用 中 的 高 危 漏洞 ， 业 务 等 级 系数 【1-10 】 ,基础 安全 币 【135~160 】， 

本 等 级 包括 : 

1. 直接 获取 核心 系统 权限 的 漏洞 ( 服务 器 权限 、PC 客户 端 权 限 ) 。 包 括 但 不 仅 限于 重要 业务 的 : 远 
程 命令 执行 、 任 意 代码 执行 、 上 传 获取 Webshell、SQL 注入 获取 系统 权限 ， 重 要 产品 客户 端 缓冲 
区 溢出 ( 包括 可 利用 的 ActiveX 缓冲 区 溢出 ) 。 ( 注 : 核心 系统 例如 百度 passport 服务 器 ) 

2. 直接 导致 核心 系统 业务 拒绝 服务 的 漏洞 。 包 括 但 不 仅 限 于 直接 导致 移动 网 关 业 务 API 业务 拒绝 服 
务 、 网 站 应 用 拒绝 服务 等 造成 严重 影响 的 远程 拒绝 服务 漏洞 ( 例如 可 造成 删除 war 包 导 致 站 点 无 


法 访问 ) 。 


严重 敏感 信息 泄漏 。 包 括 但 不 仅 限 于 核心 DB ( 用 户 信息 、 交 易 信息 ) 的 SQL 注入 ， 可 获取 大 
量 用 户 的 身份 信息 、 订 单 信息 、 银 行 卡 信息 等 接口 问题 | 起 的 敏感 信息 泄露 。 
核心 系统 中 严重 的 逻辑 设计 缺陷 和 流程 缺陷 。 包 括 但 不 仅 限 于 通过 业务 接口 批量 发 送 任意 伪造 消 


息 、 任 意 账 号 资金 消费 、 批 量 修改 任意 帐号 密码 漏洞 。 


【 高 】 非 核心 系统 中 的 高 危 漏洞 ， 或 核心 系统 中 的 一 般 漏 洞 ， 业 务 等 级 系数 【1-10】 ， 基本 安全 


币 【45-60】， 本 等 级 包括 : 


1. 


1. 


属于 严重 级 别 中 所 描述 的 漏洞 类 型 ， 但 是 产生 在 非 核心 系统 中 的 漏洞 ( 例如 非 核心 系统 的 远程 任 
意 命 令 执行 、 可 dump 出 数据 的 SQL 注入 ) ， 以 及 移动 端 App 命令 执行 类 漏洞 ( 例如 Android 
WebView 远程 代码 执行 漏洞 ) 
访问 任意 系统 文件 的 漏洞 ， 包 括 但 不 限于 任意 文件 包含 、 任 意 文 件 读 取 。 

它 敏感 信息 泄漏 。 包 括 但 不 限于 源 代码 压缩 包 港 漏 、UC-Key 泄露 、HEARTBLEED 漏洞 等 。 同 
时 包括 通过 SVN 信息 泄漏、Git 信息 泄露 导致 的 重要 产品 线 源码 泄露 。 
包含 敏感 信息 的 非 授权 访问 。 包 括 但 不 仅 限 于 绕 过 认证 直接 访问 管理 后 台 、 后 人 台 弱 密码 、 可 直接 
获取 大 量 内 网 敏感 信息 的 SSRF。 
包含 敏感 信息 的 越权 操作 及 核心 系统 的 越权 操作 。 包 括 但 不 仅 限 于 越权 修改 其 他 用 户 重 要 信息 、 
进行 订单 操作 、 重 要 业务 配置 修改 等 较为 重要 的 越权 行为 。 
大 范围 影响 用 户 的 其 他 漏洞 。 包 括 但 不 仅 限 于 可 造成 自动 传播 的 重要 页 面 的 存储 型 XSS ( 包括 存 


储 型 DOM-XSS ) 和 涉及 交易 、 重 要 操作 的 CSRF， 以 及 可 获取 BDUSS 等 敏感 信息 的 各 种 XSS。 


【 中 】 业务 等 级 系数 【1-10】 ， 基础 安全 币 【8 -12 】， 本 等 级 包括 : 


需 交 互 方 可 影响 用 户 的 漏洞 。 包 括 但 不 仅 限于 一 般 页 面 的 存储 型 XSs。 


1. 


1. 


普通 越权 操作 。 包 括 但 不 仅 限于 越权 查看 非 核心 系统 的 订单 信息 、 记 录 等 。 影 响 业 务 运行 的 


Broadcast 消息 伪造 等 Android 组 件 权限 漏洞 等 。 


普通 的 逻辑 设计 缺陷 和 流程 缺陷 。 ( 例如 绕 过 实名 认证 ) 


其 他 造成 中 度 影 响 的 漏洞 ， 例 如 : 解析 漏洞 、 目 录 人 遍历 漏洞 、 管 理 后 台 对 外 


【 低 】 业 务 等 级 系数 【1-10 】， 基 础 安全 币 【1 -5 】， 本 等 级 包括 : 


本 地 拒绝 服务 漏洞 。 包括 但 不 仅 限于 客户 端 本 地 拒绝 服务 ( 解析 文件 格式 、 网 络 协议 产生 的 崩 演 ) ， 
由 Android 组 件 权 限 暴露 、 普 通 应 用 权限 引起 的 问题 等 。 

轻微 信息 泄漏 。 包 括 但 不 仅 限于 路 径 信息 泄漏 、 非 核心 系统 的 SVN 信息 泄漏 、PHPinfo、 异 常 信 
息 泄露 ,以 及 客户 端 应 用 本 地 SQL 注入 ( 仅 泄 漏 数 据 库 名 称 、 字 段 名 、cache 内 容 ) 、 日 志 打印 、 


配置 信息 、 异 常 信息 等 。 


Self-XSS、 需 构造 部 分 参数 且 有 一 定 影响 的 CSRF。 
其 他 只 能 造成 轻微 影响 的 漏洞 ， 反 射 型 XSS ( 包括 反射 型 DOM-XSS ) 、 普 通 CSRF、URL 跳 转 


漏洞 。 例 如 : CRLF 漏洞 、URL 跳 转 、Crossdomain.xm| 配置 问题 。 


【 无 】 基础 安全 币 【0】 ， 本 等 级 包括 : 


无 法 利用 或 利用 难度 较 大 的 缺陷 。 包 括 但 不 仅 限 于 Self-XSS、 无 敏感 操作 的 CSRF、 局 域 网 中 间 


人 劫持 、 无 意义 的 异常 信息 泄漏 、 内 网 IP 地 址 /域名 泄漏 。 


2. 任何 无 敏感 信息 的 信息 泄露 ( 例如 无 敏感 信息 的 json hijacking、 仅 有 js、img 等 的 打包 文件 、 
一 般 信 息 的 logcat、 包 含 内 网 ip/ 域 名 的 页 面 ) 等 。 

3. 无 法 重 现 的 漏洞 、 只 有 “简要 概述 ”的 漏洞 、 不 能 直接 体现 漏洞 的 其 他 问题 。 包 括 但 不 限于 纯 属 
用 户 猜 测 、 未 经 过 验证 的 问题 、 无 实际 危害 证 明 的 扫描 器 结果 


4. ”Bos、bdysite、baidubce、aipage 等 外 界 可 以 注册 控制 域名 下 的 xss 问题 。 


五 、 威胁 情报 评分 标准 


根据 情报 对 公司 整体 业务 的 影响 程度 将 漏洞 等 级 分 为 【严重 】、【 高 】、【 中 】、【 低 】、【 无 】 五 
个 等 级 。 每 个 有 效 情 报 所 得 安全 币 数 量 = 基础 安全 币 * 情 报 完整 度 。 由 BSRC 结合 情报 的 危害 程度 、 


响 范 围 等 综合 因素 进行 评级 ， 并 给 予 相应 安全 币 ， 每 种 等 级 包含 的 评分 标准 及 类 型 如 下 : 


945-1600 315-600 56-120 I 


270-960 90-360 16-72 











5.1 威胁 情报 等 级 说 明 

【严重 】 

1. 针对 核心 业务 系统 的 完整 入 侵 证 据 或 线索 ， 能 够 帮助 BSRC 对 入 侵 事件 溯源 分 析 、 定 位 攻击 者 身 
份 。 


2. 重大 0day 漏洞 。 如 操作 系统 或 重要 组 件 的 未 公开 漏洞 。 


3. 能 对 百度 营 收 产生 重大 影响 的 相关 情报 。 如 百度 搜索 、 商 业 推广 等 相关 的 大 规模 作 次 、 和 牟利 行为 。 


4.， 对 百度 产品 生态 有 重大 直接 影响 的 黑 灰 产 情 报 ( 如 大 规模 盗号 事件 的 详细 情报 ) 。 


【高 危 】 

1. 针对 非 核心 业务 系统 的 完整 入 侵 证 据 或 线索 ， 能 够 帮助 BSRC 对 入 侵 事件 溯源 分 析 、 定 位 攻击 者 
身份 。 

2.” 能 对 百度 营 收 产生 较 大 直接 影响 的 相关 情报 。 


3. 对 百度 产品 生态 有 较 大 直接 影响 的 黑 灰 产 情报 。 


【中 危 】 
1. 对 特定 业务 营 收 产生 较 大 直接 影响 的 相关 情报 。 
2. ”对 百度 产品 生态 有 一 定 直 接 影响 或 对 特定 业务 有 较 大 直接 影响 的 黑 灰 产 情 报 .如 针对 贴吧 等 UGC 


产品 的 垃圾 内 容 作 浆 情报 。 


【 低 危 】 
1. 少量 的 作弊 线索 、 黑 灰 产 人 员 组 织 结构 等 相关 信息 。 


2. 有 一 定 影响 的 作 浆 手法 。 


【无 】 
1. 不 能 证 实 、 或 人 为 制造 的 等 虚假 或 无 效 威胁 情报 。 
2. BSRC 已 知 的 威胁 情报 信息 。 


3. 不 构成 实际 危害 的 情报 信息 。 


【情报 收取 说 明 】 


i， 我们 鼓励 提交 尽量 完整 的 情报 信息 ， 情 报信 息 的 完整 度 及 危害 程度 将 直接 影响 情报 得 分 及 漏洞 评级 。 
完整 性 基本 信息 参考 5W 1H 原则 ( Why What Who When Where How ) ， 即 应 说 明 何 种 人 群 在 何 
时 出 于 何 种 目的 通过 何 种 行为 /业务 进行 谋取 何 种 利益 /危害 行为 。 完 整 性 低 的 信息 泄露 将 可 能 不 被 视 
作 有 效 的 威胁 情报 。 

ii.。 同一 情报 最 早 提交 者 得 分 ; 无 有 效 信息 的 威胁 情报 不 计 分 ; 无 法 证 实 或 伪造 的 威胁 情报 不 计 分 ; BSRC 
已 掌握 的 威胁 情报 不 计 分 

证 我们 鼓励 发 现 如 : 百度 UGC 社区 相关 的 恶意 删 帖 、 批 量 发 黄 反 赌 毒 等 恶意 内 容 ; 百度 账号 相关 的 账 
号 或 个 人 信息 泄露 、 恶 意 注册 马甲 号 、 撞 库 、 恶 意 申诉 等 行为 ; 百度 推广 广告 相关 账号 安全 、 有 恶意 推 
广 、 虚 假 推广 等 黑 灰 色 产业 链 ; 新 兴业 务 中 的 黑 灰 产 威胁 等 但 不 限于 上 述 业 务 的 完整 可 靠 有 价值 的 安 


全 情报 。 


六 、 奖励 发 放 原 则 


安全 币 用 于 但 不 仅 限 于 礼品 商城 兑换 礼品 

漏洞 报告 者 通过 报告 漏洞 获得 安全 币 ,是 用 于 BSRC 礼品 商城 兄 换 的 一 种 虚拟 货币 ,安全 币 数量 = 基础 
安全 币 * 业 务 等 级 系数 。 

BSRC 安全 币 兑 换 后 ， 直 接 将 现金 发 放 到 兑换 者 BSRC 账户 对 应 的 度 小 满 金融 中 ， 收 款 用 户 度 小 满 金 


融 实名 认证 后 方 可 收 款 。 


在 匈 换 礼品 前 请 先 确认 个 人 资料 是 否 已 完善 ,新 版 网 站 需要 用 户 设置 默认 收 件 地 址 . 如 因 报 告 者 过 失 、 


快递 公司 问题 及 人 力 不 可 抗拒 因素 产生 的 奖品 丢失 或 者 损坏 ， 后 果 由 本 人 承担 。 


七 、 现金 奖励 计划 


1. 个 人 月 度 前 三 现金 奖励 计划 

参 选 条 件 : 

1 ) 个 人 月 度 积分 达到 800 分 及 以 上 的 安全 专家 ; 

2 ) 本 月 至 少 提交 过 2 个 高 危 或 严重 级 别 漏洞 的 安全 专家 ; 
获奖 名 单 : 

同时 满足 以 上 两 个 参 选 条 件 的 安全 专家 有 资格 参与 当月 评选 ， 获奖 名 单 参照 BSRC 网 站 【荣誉 榜 】- 个 
人 排行 榜 。 

奖励 形式 : 

一 等 奖 一 名 : 5000RMB 现金 奖励 

二 等 奖 一 名 : 3000RMB 现金 奖励 

三 等 奖 一 名 : 1000RMB 现金 奖励 


特别 说 明 : 1) 若 当月 无 上 榜 安全 专家 ， 则 此 奖项 空缺 ; 


2. 高 质量 漏洞 现金 奖励 计划 
评选 条 件 : 根据 所 提交 高 危害 漏洞 数量 .、 难 易 程 度 、 影 响 范围 、 思 路 是 否 新 颖 等 因素 进行 综合 评选 。 
鼓励 报告 者 在 提交 漏洞 报告 时 提供 完整 的 漏洞 发现 方式 ， 满 足 此 条 件 的 漏洞 报告 在 漏洞 审核 中 会 酌情 


加 分 ， 并 有 机 会 参与 评选 高 质量 漏洞 奖 。 


BSRC 将 对 于 以 下 安全 问题 将 进行 高 额 单独 奖励 : 
【重要 风险 情报 】 
1 针对 百度 账号 的 黑 灰 产 行为 如 盗号 . 恶意 利用 接口 获取 用 户 敏感 信息 (包括 手机 、 邮箱 、 
IP 等 ) 等 
2 针对 百度 核心 业务 如 百度 推广 的 钓鱼 、 作 次 、 欺 诈 等 规模 性 的 黑 灰 产 行 为 
3 针对 百度 UGC 社区 如 百度 贴吧 、 知 道 、 百 科 、 百 家 号 等 的 恶意 刷 帖 、 删 帖 等 黑 灰 产 行 
为 
【严重 类 型 】 
1 直接 远程 获取 核心 系统 权限 的 漏洞 ( 服务 器 权限 、 通 过 百度 批量 获取 客户 端 权 限 ) 
2 直接 导致 核心 业务 拒绝 服务 的 漏洞 
3 直接 导致 严重 敏感 信息 泄露 的 漏洞 
4 直接 造成 重大 损失 的 严重 逻辑 设计 或 流程 缺陷 
5 直接 造成 重大 损失 的 百度 业务 相关 灰 、 黑 产 严重 威胁 情报 
6 直接 造成 重大 损失 的 百度 技术 情报 及 业务 情报 
【高 危 类 型 】 


> 


远程 代码 执行 漏洞 

2 高 危 敏感 信息 泄露 

3 造成 较 大 损失 的 百度 业务 相关 灰 、 黑 产 严重 威胁 情报 
4 造成 较 大 损失 的 百度 技术 情报 及 业务 情报 

5 其 他 危害 较 大 影响 或 范围 较 大 的 安全 漏洞 


【奖励 规则 】 


i， ”对 于 符合 BSRC 优质 漏洞 奖励 计划 的 高 危 安全 问题 ， 


励 


将 在 已 得 评分 的 基础 上 额外 给 予 1 ~ 5 万 现金 奖 


ii ”对 于 符合 BSRC 优质 漏洞 奖励 计划 的 严重 安全 问题 ,将 在 已 得 评分 的 基础 上 额外 给 予 4 ~ 50 万 现金 奖 


励 


3. 优秀 团队 现金 奖励 计划 
































团队 等 级 初 识 茅 访 掘 有 小 成 移 山 填 海 女 娲 补 天 

团队 人 数 >=2 >=5 >=5 >=5 

安全 币 总 数 >=1000 >=2000 >=4000 >=8000 

高 危 漏 洞 数 >=3 >=5 >=10 >=20 

奖励 团队 成 员 累计 安全 | 团队 成 员 累 计 安全 | 团队 成 员 累 计 安 全 | 团队 成 员 累 计 安全 
币 总 额 / 4 币 总 额 / 3 币 总 额 /2 币 总 额 





注 : 1) 以 上 数据 均 为 月 度数 据 ， 每 月 度 结算 一 次 


2 ) 对 于 初 识 茅 户 队 ， 需 要 两 名 以 上 队员 出 现在 荣誉 榜 前 20， 且 总 计 三 个 以 上 高 危 漏洞 ， 


总 分 需 大 于 1000 


3 ) 对 于 掘 有 小 成 队 ， 需 要 三 名 以 上 队员 出 现在 荣誉 榜 前 15， 且 总 计 五 个 以 上 高 危 漏洞 ， 


总 分 需 大 于 2000 





4 ) 对 于 移 山 填 海 队 ， 需 要 四 名 以 上 队员 出 现在 荣誉 榜 前 15， 且 总 计 十 个 以 上 高 危 漏洞 ， 
总 分 需 大 于 4000 

6 ) 对 于 女 娲 补 天 队 ， 需 要 三 名 以 上 队员 出 现在 荣誉 榜 前 5 , 且 总 计 二 十 个 以 上 高 危 漏 洞 ， 
总 分 需 大 于 8000 

7 ) 团队 证 书 由 BSRC 统一 寄 给 该 队 队长 

8 ) 对 于 外 面 已 存在 的 团队 ， 原 则 上 需 相关 团队 leader 授权 ， 最 终 解 释 权 归 BSRC 所 有 


4. 增值 奖励 
BSRC 将 加 大 对 高 质量 漏洞 、 严 重 漏洞 、 高 危 漏洞 的 奖励 力度 ， 除 上 述 现金 奖励 评选 原则 外 ，BSRC 会 
根据 白 帽子 个 人 及 团队 在 BSRC 连续 贡献 值 进行 额外 奖励 ， 连 续 提交 高 危及 以 上 漏洞 的 白 帽子 有 机 会 


获得 额外 惊喜 。 


八 、 评分 标准 特殊 情况 声明 

1. SSRF 漏洞 不 区 分 业务 等 级 : 完全 回 显 计 300 分 、 部 分 回 显 计 40 分 、 无 回 显 计 20 分 。 

2.， 若 目标 系统 是 核心 产品 线 的 边缘 业务 ( 例如 百度 地 图 的 某 个 边缘 业务 ) ， 并 且 不 能 获取 敏感 或 有 价 
值 数 的 数据 ， 则 业务 等 级 系数 降 一 级 ( 即 由 核心 业务 等 级 降 为 一 般 业 务 等 级 ) 。 敏 感 数据 包括 但 不 
仅 限 于 大 量 用 户 数据 、 交 易 数据 ， 或 可 以 引起 直接 风险 的 敏感 数据 。 

3， 短 信友 炸 的 定义 : 单一 IP/ 用 户 半 小 时 内 定向 发 送 超过 50 条 后 无 任何 限制 。 使 用 短信 接口 不 受 限 
制 向 不 同 手机 发 送 1 条 短信 的 问题 忽略 。 

4.， 同一 个 域名 的 同类 问题 在 十 四 个 工作 日 内 重复 提交 ， 记 前 三 个 为 肥效 ( 3 个 以 上 同类 问题 建议 打包 


提交 ， 将 酌情 提高 评分 ) 


(ew 


2 


DD 


， 同 一 漏洞 源 的 多 个 漏洞 仅 记 为 1 个 。 以 下 情况 也 作 同 一 漏洞 源 处 理 ， 即 多 个 漏洞 按 一 个 处 理 。 
注 : 若 已 提交 问题 处 于 待 复 测 状态 ， 发 现 当 前 或 其 他 位 置 仍 存在 该 问题 则 重新 记分 

1) 同一 个 站 点 开启 debug 或 php 未 关闭 错误 回 显 等 原因 引起 的 多 处 信息 泄露 

2) 同一 个 站 点 多 个 目录 和 存在 目录 浏览 或 svn 信息 泄露 
， 不 涉及 安全 问题 的 Bug。 包 括 但 不 仅 限 于 产品 功能 缺陷 、 网 页 乱码 、 样 式 混乱 、 静 态 文 件 目录 遍 
历 、 应 用 兼容 性 等 问题 请 提交 至 help.baidu.com 
， 拒 绝 服务 类 漏洞 ,如 报告 中 仅 给 出 fuzz 程序 的 一 些 调 试 信息 、 无 法 给 出 具体 出 现 问题 图 数 等 细节 ， 
一 律 评 1 分 
.PC 端 二 进 制 类 漏洞 ， 需 要 尽 可 能 提供 POC 和 分 析 过 程 ， 否 则 将 影响 评分 。 如 果 该 软件 已 经 超过 半 
年 没有 更 新 ( 例如 百度 浏览 器 ), 漏洞 无 危害 处 理 
， 通 用 型 漏洞 ， 如 struts 出 现 新 漏洞 ， 首 位 报告 者 双 倍 积分 ， 报 告 时 间 一 周 内 其 他 该 struts 漏洞 引 
起 的 问题 忽略 处 理 ， 一 周 后 如 仍 存 在 该 问题 则 按 漏 洞 对 应 级 别 评分 
. 在 漏洞 测试 过 程 中 ， 须 遵守 渗透 测试 原则 ， 严 格 遵守 《网 络 安全 法 》 的 规定 ,对 于 上 传 webshell、 
反弹 shell、 内 网 扫描 探测 、 有 恶意 拖 取 数 据 、 下 载 源码 等 越界 行为 ， 漏 洞 均 0 分 处 理 ， 且 百度 有 权 
利 报 案 、 举 报 、 并 配合 刑事 侦查 机 关 提 供 相 应 证 据 
.为 了 保护 百度 产品 及 业务 的 安全 ,降低 用 户 安全 风险 ， 百 度 鼓励 负责 任 地 漏洞 披露 行为 ， 若 白 帽子 
将 未 脱 敏 的 漏洞 报告 向 外 部 发 布 或 在 漏洞 未 修复 时 向 外 界 发 布 BSRC 有 权 减 少 或 取消 漏洞 奖励 。 
. 在 漏洞 测试 过 程 中 ， 须 遵守 渗透 测试 原则 ， 严 格 遵守 《网 络 安全 法 》 的 规定 ， 对 于 上 传 webshell、 
恶意 拖 取 数 据 、 下 载 源码 等 越界 行为 ， 漏 洞 均 0 分 处 理 ， 且 百度 有 权利 报案 、 举 报 、 并 配合 刑事 侦 


查 机 关 提 供 相 应 证 据 。 


13. 提交 漏洞 时 ， 对 提供 详细 漏洞 触发 点 url 数据 包 或 者 链接 以 及 需要 的 账户 权限 的 用 户 ， 将 适当 提高 


漏洞 奖励 ， 对 报告 中 不 贴 url 链接 的 ， 将 适当 扣 分 。 


14. 对 于 百度 不 直接 参与 运营 的 业务 (如 百度 外 卖 、91 助手 、 王 和 干 音 乐 、 太 合 音乐 、 纵 横 文 学 、 度 小 满 
金融 、 百 度 云 租户 等 )， 建议 白 帽 子 将 其 相关 的 漏洞 直接 反馈 给 该 业务 现在 归属 的 公司 ， 此 类 漏洞 
将 不 在 BSRC 奖励 计划 之 内 

15. 百度 员工 请 通过 内 部 渠道 报告 漏洞 。 一 旦 发 现 内 部 员工 在 BSRC 提交 漏洞 ， 将 把 漏洞 积分 清 零 ,并 
联系 职业 道德 部 门 处 理 

16. 严禁 社工 ， 以 测试 漏洞 为 借口 ， 利 用 漏洞 进行 损害 用 户 利益 、 影 响 业 务 运作 、 盗 取 用 户 数据 等 行为 


的 ， 将 采取 进一步 法 律 行动 的 权利 


九 、 争议 解决 办 法 ( 漏洞 仲裁 ) 

在 用 户 对 处 理 流程 、 漏 洞 评定 、 漏 洞 评分 有 异议 的 的 情况 下 ， 可 申请 漏洞 仲裁 。 

@ 可 通过 邮箱 : security@baidu.com 进行 反馈 ， 反馈 时 请 附 上 报告 者 的 联系 方式 。 

@ 联系 QQ 群 567476227 管理 员 后 ， 会 组 织 漏洞 仲裁 委员 会 ( 必要 时 会 拉 第 三 方 介 入 ) 一 起 重新 


复审 漏洞 ， 百 度 安全 应 急 响应 中 心 将 根据 漏洞 报告 者 利益 优先 的 原则 进行 处 理 。 


十 、 FAQ 


1. BSRC 一 积分 相当 于 多 少 安全 币 ? 
安全 币 是 BSRC 采用 的 积分 计量 单位 ， 可 用 于 礼品 商城 的 消费 。 按 照 最 新 调整 ， 自 2017 年 3 月 1 
日 起 ， 百度 安全 应 急 响 应 中 心 1 安全 币 =5RMB， 安 全 币 系数 由 之 前 的 1 : 4 提升 到 1 : 5。 


2.， BSRC 的 现金 品 换 是 怎么 友 放 的 ? 


BSRC 现金 吕 换 均 发 放 至 您 的 BSRC 账号 对 应 的 度 小 满 金 融 里 ， 一 般 品 换 后 3 天 内 到 账 。 
， 我 多 换 了 现金 ,可 是 度 小 满 钱包 里 没有 钱 怎么 办 ? 
若 您 出 现 这 种 情况 ， 请 先 确认 您 的 度 小 满 金融 已 实名 认证 ， 然 后 联系 BSRC 工作 人 员 。 


， 说 好 众 测 漏洞 翻 倍 ， 为 什么 我 看 给 分 没有 翻 倍 呢 ? 


为 不 影响 月 度 / 年 度 排 行 榜 ，BSRC 众 测 等 活动 的 翻 倍 奖励 将 从 后 台 为 您 添加 。 
.BSRC 会 把 我 交 的 漏洞 先 修复 了 ， 然 后 忽略 我 的 漏洞 吗 ? 


BSRC 承诺 ， 所 有 漏洞 都 会 得 到 公平 、 公 正 的 处 理 ， 绝 不 会 出 现 修复 漏洞 后 不 给 分 的 情况 。 
.BSRC 采用 新 版 漏洞 评分 标准 ， 会 不 会 影响 到 白 帽 子 之 前 的 积分 ? 

BSRC 者 用 户 原 有 积分 不 受 任何 不 影响 。 只 是 以 安全 币 代 蔡 积分 作为 虚拟 货币 单位 。 

.为 什么 SQL 注入 这 样 的 高 危 漏洞 评级 会 出 现 低 危 ? 

评级 依据 该 漏洞 在 实际 场景 中 对 业务 的 影响 程度 给 出 ,对 于 同样 的 漏洞 在 不 同 的 业务 场景 中 会 有 不 
同 的 影响 ， 其 评级 亦 不 同 。 ( 如 可 能 出 现 低 危 的 情况 : 只 能 获得 有 限 的 不 敏感 数据 、 数 据 库 中 均 为 
公开 数据 ) 

， 我 因为 工作 原因 向 对 外 披露 部 分 已 修复 漏洞 的 细节 ， 应 该 怎么 做 、 联 系 谁 ? 


若 有 披露 已 修复 漏洞 的 需求 ( 如 有 参 会 议题 等 ), 请 至 少 提 前 一 周 发 邮 件 至 security@baidu.com 





说 明 情 况 ， 我 们 将 评估 该 需求 并 且 第 一 时 间 与 你 取得 联系 。 其 他 情况 的 漏洞 披露 ， 百 度 将 保留 追究 


法 律 责任 的 权利 。 


